Explicación específica de WAPI
WAPI (Wireless Authentication Privacy Infrastructure), estructura de privacidad y autenticación inalámbrica, generalmente leída como (WAIPI).
Es un protocolo de seguridad utilizado en sistemas WLAN.
El sistema de seguridad WAPI utiliza tecnología de criptografía de clave pública. El servidor de autenticación AS es responsable de la emisión, verificación y revocación de los certificados del cliente inalámbrico, es decir, del terminal móvil y del punto de acceso inalámbrico AP. Se instalan con la clave pública emitida por el Certificado AS como su propio certificado de identidad digital.
Cuando el terminal móvil MT inicia sesión en el punto de acceso inalámbrico AP, ambas partes deben autenticarse a través del servidor de autenticación AS antes de usar o acceder a la red.
Según el resultado de la verificación, el terminal móvil MT que posee un certificado legal puede acceder al punto de acceso inalámbrico AP que posee un certificado legal, es decir, puede acceder a la red a través del AP.
Esto no solo evita que el terminal móvil ilegal MT acceda al AP para acceder a la red y ocupe recursos de la red, sino que también evita que el terminal móvil MT inicie sesión en el AP ilegal y provocando fuga de información.
El sistema de Infraestructura de Privacidad y Autenticación de LAN Inalámbrica (WAPI) incluye las siguientes partes: Autenticación WAI y administración de claves Protección de transmisión de datos WPI Comparación entre WAPI y 802.11i WEPWAPI Autenticación IEEE 802.11i Autenticación unidireccional (Autenticación AP MT) Autenticación bidireccional (AP y MT realizan autenticación de identidad mutua a través de AS) Autenticación unidireccional y bidireccional (entre MT y Radius), MT no puede autenticar el método de autenticación de legalidad de AP Autenticación de sistema abierto (o *** compartir autenticación de clave ) El proceso de autenticación es simple y fácil; el certificado de identidad es un certificado digital de clave pública que el estado de los usuarios inalámbricos y los puntos de acceso inalámbricos es igual, lo que no solo realiza el control de acceso de los puntos de acceso inalámbricos, sino que también garantiza la seguridad del usuario inalámbrico. el cliente admite múltiples certificados, lo cual es conveniente para que los usuarios lo utilicen en múltiples lugares y garantiza completamente su función de itinerancia. El proceso de autenticación es relativamente complicado, la identidad del usuario suele ser el nombre de usuario y la contraseña del servidor Radius; autentica al usuario; no se requiere la administración de claves de usuario del cliente del objeto de autenticación Completamente centralizado (la LAN es administrada uniformemente por el AS) La clave compartida debe configurarse manualmente entre el AP y el servidor Radius, solo se define la arquitectura de autenticación; AP y MT, y los diseños específicos de diferentes fabricantes pueden ser incompatibles para lograr compatibilidad. El algoritmo de curva elíptica RC4 de 64 bits y 192 bits de mayor costo (ECC192) está relacionado con el protocolo específico. La identificación de vulnerabilidades es fácil de falsificar. Las credenciales de identidad de usuario no identificadas son simples, fáciles de robar y pueden usarse arbitrariamente después de ser robadas;: ** * Existen riesgos de seguridad en la administración de claves compartidas. Las claves de cifrado son estáticas y dinámicas (basadas en el usuario, basadas en autenticación, dinámicamente). actualizado durante la comunicación) algoritmo dinámico Algoritmo de cifrado de bloques RC4 de 64 bits (SMS4) aprobado por la Oficina Secreta de Estado, AES de 128 bits y RC4WAPI de 128 bits Historia: En 1992, China comenzó a investigar sobre LAN inalámbrica. En 1994, se aprobó el primer prototipo de WLAN. la evaluación ministerial En mayo de 2003, se aprobó y publicó la norma nacional obligatoria GB 15629.11/1102-2003. En diciembre de 2003, la Administración General de Supervisión de Calidad, Inspección y Cuarentena, Certificación y Supervisión de la Administración emitió un anuncio anunciando su implementación. de certificación obligatoria de productos para LAN inalámbrica En marzo de 2004, el Secretario de Estado, el Secretario de Comercio y el Representante Comercial de EE. UU. enviaron conjuntamente una carta solicitando a China que abandonara el estándar WAPI. Cuarentena y la Administración Nacional de Certificación y Acreditación, el Comité Nacional de Normas emitieron conjuntamente un anuncio: la implementación obligatoria de la norma WAPI se pospondrá el 1 de junio de 2004. En noviembre de 2005, ocho ministerios y comisiones, incluida la Comisión Nacional de Desarrollo y Reforma, celebraron En una reunión conjunta interministerial de WAPI, en diciembre de 2005, tres ministerios y comisiones, incluido el Ministerio de Finanzas, emitieron conjuntamente el "Acerca de la emisión de "Aviso de opiniones sobre la implementación de adquisiciones sobre productos de LAN inalámbricas***". En enero de 2006, la enmienda número 1. GB15629.11-2003 y los dos subelementos de extensión de WLAN, se promulgaron estándares nacionales obligatorios. En junio de 2006, la Administración General de Supervisión de Calidad, Inspección y Cuarentena y la Administración Nacional de Estándares emitieron conjuntamente el "Anuncio sobre la Publicación de Estándares Nacionales". for Wireless LANs". En abril de 2009, el Ministerio de Industria y Tecnología de la Información de China convocó una reunión de fabricantes de teléfonos móviles y anunció que todos los teléfonos móviles nacionales 2G y 3G podrán utilizar la tecnología WAPI en el futuro. Sistema de certificación WAPI WAPI Para resolver las lagunas existentes y los peligros ocultos del mecanismo de seguridad actual de las LAN inalámbricas, se utiliza autenticación bidireccional basada en certificados digitales para establecer un método de autenticación mutua entre el cliente (tarjeta de red inalámbrica) y el punto de acceso inalámbrico (AP). , ambas partes pueden demostrar su legitimidad en un tiempo razonable. Sólo la autenticación bidireccional permite detectar y aislar puntos de acceso falsos y clientes fraudulentos.
En concreto, la red de seguridad WLAN basada en el protocolo WAPI consta de tres entidades: AP, cliente y servidor de autenticación (AS). Utiliza un sistema de contraseña pública para completar la autenticación bidireccional entre el cliente y el AP. El proceso de autenticación Utilizando el algoritmo criptográfico de curva elíptica, el cliente y el AP negocian la clave de sesión, los datos durante el proceso de comunicación se cifran utilizando el algoritmo de cifrado designado por la autoridad nacional de criptografía, que es extremadamente seguro.
Al mismo tiempo, WAPI también admite la actualización de la clave de sesión después de un cierto intervalo de tiempo o después de que se transmita una cierta cantidad de paquetes de datos durante el proceso de comunicación, lo que mejorará en gran medida la seguridad de los datos.
Desde la perspectiva de la aplicación, el uso del mecanismo de certificado hace que la gestión de usuarios sea muy conveniente.
WAPI proporciona soluciones de seguridad de acceso a datos IP integradas por cable e inalámbricas, que pueden proporcionar soluciones de gestión y autenticación de seguridad centralizadas en los sistemas de información del usuario.
El algoritmo de cifrado y descifrado WAPI adopta el algoritmo de criptografía de curva elíptica del sistema de clave pública y el algoritmo de cifrado en bloque del sistema de clave secreta aprobado por la Oficina del Comité Estatal de Gestión de Criptozoología.
La infraestructura de privacidad de LAN inalámbrica (WPI) de WPI cifra y descifra la MPDU de la subcapa MAC, que se utiliza para certificados digitales, negociación de claves y cifrado y descifrado de datos de transmisión de dispositivos WLAN, respectivamente, logrando así la identidad del dispositivo. autenticación, verificación de enlaces, control de acceso y protección de cifrado de la información del usuario durante la transmisión inalámbrica.
La infraestructura de autenticación de LAN inalámbrica (WAI) WAI no solo tiene un mecanismo de autenticación más seguro y una tecnología de administración de claves más flexible, sino que también realiza una administración centralizada de usuarios de toda la red básica.
Atendiendo así a más usuarios y requisitos de seguridad más complejos.
[Editar] Comparación entre WAPI y 802.11i Proyecto de comparación entre WAPI y 802.11i WEPWAPIIEEE Autenticación 802.11i Mecanismo de autenticación Autenticación unidireccional (AP autentica MT) Autenticación bidireccional (AP y MT realizan autenticación de identidad mutua a través de AS) Autenticación unidireccional y bidireccional (entre MT y Radius), MT no puede autenticar la legalidad del método de autenticación AP Autenticación de sistema abierto (o autenticación de clave compartida) El proceso de autenticación es simple y fácil, el certificado de identidad es público; El certificado de número de clave y los puntos de acceso inalámbricos tienen el mismo estado, lo que no solo realiza el control de acceso de los puntos de acceso inalámbrico, sino que también garantiza la seguridad del acceso de los usuarios inalámbricos. El cliente admite múltiples certificados, lo cual es conveniente para que los usuarios lo utilicen en múltiples; lugares y garantiza completamente su itinerancia. El proceso de autenticación de la función es relativamente complejo. La identidad del usuario suele ser el nombre de usuario y la contraseña. El servidor Radius en el servidor AP autentica al usuario. La administración de claves de usuario del cliente no está completamente centralizada; AS) entre AP y el servidor Radius, la clave compartida debe configurarse manualmente, solo se define la arquitectura de autenticación entre AP y MT, y los diseños específicos de diferentes fabricantes pueden ser incompatibles. El algoritmo rentable para lograr compatibilidad es 64; -bit RC4192-bit algoritmo de curva elíptica (ECC192) y la identificación de vulnerabilidades de seguridad específicas relacionadas con el protocolo es fácil de falsificar y las credenciales de identidad del usuario no identificadas son simples, fáciles de robar y pueden usarse arbitrariamente después de ser robadas;: Hay. riesgos de seguridad en la gestión de claves compartidas Claves de cifrado estáticas y dinámicas (basadas en el usuario, basadas en la identificación, actualización dinámica durante la comunicación) algoritmo dinámico Algoritmo de cifrado de bloques RC4 de 64 bits (SMS4) aprobado por la Oficina Secreta de Estado AES de 128 bits y RC4 de 128 bits. [editar] Estado de estandarización de WAPI Protocolo de seguridad WAPI y el subestándar extendido GB 15629.1102-2003 "Control de acceso a medios LAN inalámbricos" y especificación de capa física: especificación de extensión de capa física de mayor velocidad en la banda de frecuencia de 2,4 GHz"; WAPI ganó el segundo premio del Premio Nacional de Tecnología 2005 Premio a la Invención por su avance tecnológico, y ganó el Noveno Premio de Oro conjunto de la Organización Mundial de la Propiedad Intelectual de las Naciones Unidas y la Oficina Estatal de Propiedad Intelectual en 2005, Premio de Oro de Patente de Invención de China.
En enero de 2006, la Administración General de Supervisión de Calidad, Inspección y Cuarentena promulgó la orden de modificación de LAN inalámbrica GB 15629.11-2003/XG1-2006 y su subpárrafo ampliado estándar nacional GB 15629.1101-2006 "LAN inalámbrica Control de acceso a medios y especificaciones de capa física: especificación de extensión de capa física de alta velocidad de banda de frecuencia de 5,8 GHz", GB15629.1104-2006 "Control de acceso a medios de LAN inalámbrica y especificación de capa física: especificación de extensión de velocidad de datos superior de banda de frecuencia de 2,4 GHz", GB/ T 15629.1103-2006 "Acceso a medios LAN inalámbricos Tres estándares nacionales complementarios, incluidas las Especificaciones de control y de capa física: Especificaciones adicionales de operación del dominio de administración, forman un sistema estándar nacional WLAN que adopta completamente la tecnología WAPI.
Industrialización de WAPI Introducción a WAPI Industry Alliance WAPI Industry Alliance se estableció el 7 de marzo de 2006. Al 10 de septiembre de 2008, había 41 miembros oficiales de WAPI, entre ellos: China Telecom Group Corporation China United Communications Co., Ltd. Corporación de Comunicaciones de Red de China Corporación de Comunicaciones Móviles de China Datang Mobile Communications Equipment Co., Ltd. Huawei Technologies Co., Ltd. Lenovo (Beijing) Co., Ltd. Fundador de la Universidad de Pekín Group Co., Ltd. Qingdao Haier Technology Co., Ltd. Hisense Group Co., Ltd. China Pacific Data Communications (Shenzhen) Co., Ltd. Guangzhou Jiesai Technology Co., Ltd. Guangzhou Xinyou Communication Equipment Co., Ltd. Shenzhen Minghua Aohan Technology Co., Ltd. Shenzhen Putian Yitong Technology Co., Ltd. Shenzhen Guoren Communications Co., Ltd. Shenzhen Xinjinlang Electronics Co., Ltd. Shenzhen ***Jin Electronics Co., Ltd. Beijing Wulong Telecom Technology Co., Ltd. Shenzhen Yulong Communications Co. , Ltd. Xidian Jietong Wireless Network Communications Co., Ltd. Beijing CLP Huada Electronic Design Co., Ltd. Beijing Langbo Core Micro Technology Co., Ltd. Liuhe Wantong Microelectronics Technology Co., Ltd. Beijing Tianyi Integrated Technology Co., Ltd Beijing Lianxin Yongyi Technology Co., Ltd. Beijing Hanming Xintong Technology Co., Ltd. Beijing Huaan Guangtong Technology Development Co., Ltd. Xi'an Datang Telecom Co., Ltd. Datang Microelectronics Technology Co., Ltd. Compañía Shanghai Dingxin. Technology Co., Ltd. Shanghai Huaman Information Technology Co., Ltd. Donglan Digital Co., Ltd. Ambiton Networks Inc. Oficina de representación de Beijing Administración Nacional de Criptografía Centro de Investigación de Criptografía Comercial Centro Nacional de Monitoreo de Radio Beijing Tongyaotong Electric Technology Co., Ltd. Beijing Iniciar sesión He Technology Co., Ltd. Shanghai Runxin Technology Co., Ltd. Honghao Mingchuan Technology (Beijing) Co., Ltd. Productos relacionados con WAPI Los productos relacionados incluyen productos WLAN de extremo a extremo, incluidos AP, AS, terminales y redes inalámbricas. tarjetas, etc
Aplicación de WAPI Durante los Juegos Olímpicos de Beijing 2008, casi mil usuarios en línea accedieron a Internet a través de la red WAPI todos los días en sedes, hoteles, residencias y otros lugares, y el funcionamiento de la red fue estable.
China Mobile, China Telecom y otros operadores han incorporado los requisitos relevantes del estándar nacional WAPI en el estándar empresarial WLAN y declararon que adoptarán activamente tecnologías innovadoras independientes y promoverán plenamente la mejora de los estándares WAPI. madurez del producto y aplicaciones comerciales.
En el actual proceso de licitación de WLAN de los tres principales operadores de telecomunicaciones de China, todos ellos claramente requieren soporte para el estándar WAPI.
El 17 de abril de 2009, el Ministerio de Industria y Tecnología de la Información convocó una reunión de fabricantes de teléfonos móviles y anunció que todos los teléfonos móviles 2G y 3G del país podrán utilizar la tecnología WAPI en el futuro.